本發明提供了一種密鑰的確定方法及裝置。具體而言，該方法包括：終端在網絡注冊過程中，向網絡側設備發送加密隨機數RANDm得到的RANDs，其中所述RANDm用于所述網絡側設備確定中間錨定密鑰；所述終端接收所述網絡側設備反饋的網絡認證請求，并根據RANDm確定所述中間錨定密鑰。通過本發明，解決了基于SUCI加密技術只能基于終端的設備本體來實現共享密鑰的問題，從而不僅保障了保證生成會話密鑰的安全性，同時適用性廣，對于會話的安全保護的運行效率高。

技術領域

本發明涉及通信領域，具體而言，涉及一種密鑰的確定方法及裝置。

背景技術

第三代合作伙伴計劃(3rd Generation Partnership Project，3GPP)制定了各種移動網絡的規范，包括認證與密鑰協商過程(Authentication and Key Agreement，簡稱AKA過程)，該過程用于UE與網絡的互相認證并建立共同的密鑰。

圖1是相關技術中移動系統的結構示意圖，如圖1所示，包括終端、基站、認證功能、認證服務功能和簽約數據管理功能。其中基站為終端提供通訊等各項移動網絡提供的服務，比如eNB或gNB；認證功能為移動網絡的核心網的軟件功能或硬件設備，用于通過信令與基站交互，使得移動網絡終端可以實現相互認證，比如移動管理性功能MME(MobilityManagement Entity)，或安全錨定功能SEAF(Security Anchor Function)，或接入和移動管理性功能AMF(Access and Mobility Management Function)；認證服務功能用于與簽約數據管理功能通過信令接口，獲取與用戶相關的密鑰信息，并將該信息通過信令接口提供給認證功能，該功能可以是AUSF，該功能也可以與簽約數據管理功能合設；簽約數據管理功能存儲并處理用戶相關的數據，基于用戶相關數據生成用于認證用戶的信息和用戶相關的密鑰信息，并通過信令接口提供給認證服務功能，該功能可以是簽約數據管理功能UDM(User Date Management)/ARPF(Authentication credential Repository andProcessing Function)或家鄉用戶服務器HSS(Home Subscriber Server)。

然而，當根密鑰K發生泄露，終端業務就不受保護，很容易被攻擊者破壞，如果采用了相關技術中的橢圓曲線加密技術加密SUPI為SUCI，雖然可以通過生成終端和網絡的共享密鑰來加擾K_AUSF或者K_SEAF，以達到保護終端的中間錨定密鑰，使用戶的正常業務得到保護。但是基于SUCI加密技術來保護的，只能基于終端設備本體來實現，而例如終端設備中插入的用戶簽約卡，以及其他外界設備，上述方法是難以實現的。因此，相關技術中使用共享密鑰存在適用對象窄，保護效率低的問題。

發明內容

本發明實施例提供了一種密鑰的確定方法及裝置，以至少解決相關技術中基于SUCI加密技術只能基于終端的設備本體來實現共享密鑰的問題。

根據本發明的一個實施例，提供了一種密鑰的確定方法，包括：終端在網絡注冊過程中，向網絡側設備發送加密隨機數RANDm得到的RANDs，其中所述RANDm用于所述網絡側設備確定中間錨定密鑰；所述終端接收所述網絡側設備反饋的網絡認證請求，并根據RANDm確定所述中間錨定密鑰。

可選地，在向網絡側設備發送加密有隨機數RANDm的RANDs之前，所述方法還包括：所述終端將生成的所述RANDm加密為所述RANDs。

可選地，所述終端通過如下至少之一的方式將生成的所述RANDm加密為所述RANDs：所述終端的設備本體生成所述RANDm，并加密為所述RANDs；所述終端通過用戶簽約卡生成所述RANDm，并加密為所述RANDs；所述終端的設備本體生成所述RANDm，并通過用戶簽約卡加密為所述RANDs。

可選地，將生成的所述RANDm加密為RANDs，還包括：所述終端通過非對稱密鑰加密算法或對稱密鑰加密算法將所述RANDm加密為RANDs。